APT (alat pengemasan canggih) adalah program untuk menginstal, memperbarui, dan menghapus paket perangkat lunak dalam sistem operasi Debian dan berdasarkan pada mereka (Ubuntu, Linux Mint, dll). Terkadang juga digunakan dalam distribusi berbasis Mandrake. Paket diunduh melalui Internet dari repositori melalui
koneksi yang tidak aman , tanpa menggunakan protokol dan enkripsi TLS. Muncul pertanyaan: mengapa? Bukankah HTTPS Memberikan Keamanan yang Lebih Baik? Debian percaya bahwa HTTPS adalah entitas yang tidak perlu, karena sistem
SecureAPT memeriksa checksum untuk file yang diunduh dan tanda tangan gpg kriptografis dari seluruh paket.
Salah satu pengembang Debian meluncurkan situs web
whydoesaptnotusehttps.com ("Mengapa APT Tidak Menggunakan HTTPS"), di mana ia menjelaskan posisi resmi.
Cara Kerja SecureAPT
Pertama, apt membandingkan hash file dari paket. Mereka diterbitkan di situs web Debian di file Release ...
MD5Sum: 6b05b392f792ba5a436d590c129de21f 3453 Packages 1356479a23edda7a69f24eb8d6f4a14b 1131 Packages.gz 2a5167881adc9ad1a8864f281b1eb959 1715 Sources 88de3533bf6e054d1799f8e49b6aed8b 658 Sources.gz
... dan dikirimkan bersama dengan paket.
Package: uqm Priority: optional ... Filename: unstable/uqm_0.4.0-1_i386.deb Size: 580558 MD5sum: 864ec6157c1eea88acfef44d0f34d219
Untuk melindungi file Release agar tidak dirusak, sistem SecureAPT menambahkan gpg tanda tangan digital, yang terletak di file Release.gpg:
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQBCqKO1nukh8wJbxY8RAsfHAJ9hu8oGNRAl2MSmP5+z2RZb6FJ8kACfWvEx UBGPVc7jbHHsg78EhMBlV/U= =x6og -----END PGP SIGNATURE-----
Program apt mengunduh file Release.gpg dan memverifikasi tanda tangan menggunakan kunci publik tepercaya, yang disimpan dalam file /etc/apt/trusted.gpg. Secara default, kunci publik arsip Debian dicatat di sana.
joey@dragon:~>sudo apt-key list /etc/apt/trusted.gpg -------------------- pub 4096R/55BE302B 2009-01-27 [verfällt: 2012-12-31] uid Debian Archive Automatic Signing Key (5.0/lenny) <ftpmaster@debian.org>
Ini adalah garis pertahanan terakhir, jadi Debian secara berkala mengubah kunci. Kunci baru didistribusikan dengan paket key-arsip-debian dan juga diterbitkan pada
halaman web .
Setelah publikasi kunci publik baru, prosedur lain terjadi. Kunci rahasia yang digunakan untuk menghasilkan kunci publik dibagi menjadi lima bagian menggunakan program
gfshare dan didistribusikan di antara lima pengembang terkemuka menurut skema berbagi rahasia Shamir. Untuk memulihkan rahasia, setidaknya tiga dari lima pengembang harus memberikan bagian rahasia mereka. Bukti matematis dari skema Shamir
dipublikasikan di Habré : didasarkan pada fakta bahwa melalui dua titik di pesawat, jumlah polinomial tingkat 2 yang tidak terbatas dapat ditarik. Untuk memilih satu-satunya dari mereka, Anda memerlukan poin ketiga. Sederhananya, skema ini didasarkan pada interpolasi polinomial.
Jadi, dalam sistem SecureAPT, kunci rahasia dibagi menjadi lima bagian dan dilindungi dengan aman, tanda tangan kriptografi file Rilis diverifikasi oleh kunci publik, dan checksum dari file dari paket disimpan dalam file ini. Mengapa menggunakan HTTS jika semuanya begitu aman?
Mengapa menggunakan HTTP?
Tujuan utama HTTPS adalah untuk menyembunyikan lalu lintas dari pengintip (penyedia, layanan pemerintah, dan pengganggu lainnya) sehingga pihak ketiga tidak dapat:
- Mengganggu lalu lintas (memodifikasinya).
- Dengarkan lalu lintas (pengumpulan informasi, intelijen).
Sistem SecureAPT sebagian melindungi terhadap ancaman pertama, tetapi tidak dari yang kedua. Karena paket ditransmisikan melalui saluran terbuka, orang luar melihat paket spesifik apa yang diunduh dan dari mana. Penyerang juga dapat mengganti paket dan tanda tangan digital, tetapi kemudian tidak akan lolos verifikasi.
Pengembang Debian menulis:
HTTPS tidak memberikan kerahasiaan yang berarti untuk menerima paket, karena penyerang biasanya melihat host mana yang Anda ajak berkomunikasi. Jika Anda terhubung ke cermin distribusi, akan jelas bahwa Anda mengunduh pembaruan.
Paragraf ini mungkin ditulis pada saat browser dan layanan Internet tidak mulai mendukung teknologi DNS over TLS dan
DNS over HTTPS (DoH) untuk mengenkripsi lalu lintas DNS. Sebagai contoh, pada bulan April 2018, itu
diperkenalkan oleh salah satu penyedia CDN terbesar Cloudfalre, dan pada Oktober 2018, Google Public DNS juga
memasukkan dukungan untuk DNS melalui TLS .
Dengan demikian, setelah konfigurasi sistem yang sesuai, Anda dapat secara efektif menyembunyikan permintaan DNS dari orang luar yang mendengarkan lalu lintas. Pekerjaan aktif juga sedang dilakukan untuk memperkenalkan teknologi lain yang menyembunyikan penerima paket. Artinya, di masa depan, HTTPS masih akan dapat memberikan kerahasiaan yang tepat.
Debian memunculkan argumen lain: bahkan pada koneksi terenkripsi, “mudah untuk mengetahui file mana yang diunduh pengguna berdasarkan ukuran lalu lintas.” "Kerentanan" ini dapat digunakan
bahkan ketika menganalisis lalu lintas melalui Tor .
Akhirnya, Debian tidak melihat alasan untuk sepenuhnya mempercayai otoritas sertifikasi: ada lebih dari 400 CA yang menawarkan sertifikat untuk domain apa pun. Banyak yang memiliki reputasi buruk, dan ada pula yang langsung dikendalikan oleh negara. Sulit untuk menentukan
CA mana yang bisa Anda percayai .
Jadi, menurut Debian, hal yang paling penting adalah untuk menjamin keaslian file dalam paket, dan bukan untuk melindungi koneksi itu sendiri.
Mengapa tidak menggunakan HTTPS di atas engine SecureAPT yang ada? Pengembang menganggap ini sebagai tugas rekayasa yang sulit, yang membutuhkan pertukaran dan penyimpanan kunci pribadi yang aman. Selain itu, penerapan HTTPS menyiratkan "pengguna yang menyesatkan mengenai tingkat keamanan dan privasi" karena alasan yang dijelaskan di atas.
Pada tahun 2019, sengaja meninggalkan HTTPS terlihat sangat boros, sehingga posisi Debian memicu
diskusi yang meriah di
Hacker News , di mana para komentator mengajukan beberapa kontra argumen.
Bagaimana menurut Anda, apakah Anda perlu mengenkripsi lalu lintas yang tepat? (Polling di bawah).
